Nastavení Mikrotiku v DMZ

[MartinArnold]

Zdravím,
Potřebuji nastavit Mikrotik jako router, který je v DMZ za modemem. Nastavení jsem provedl, ale něco není v pořádku, neboť webové stránky se v prohlížeči někdy načtou a někdy ne. Přitom třeba ICQ a jiné funguje dobře. Poradí někdo?

Internet -> modem -> Mikrotik -> PC

Internet: Mobilní Internet XL od O2
Modem: Huawei B593 s pevnou IP 10.0.0.100, zapnuté DMZ na 10.0.0.102
Mikrotik: RB2011 ROS 6.20, ETH1=WAN IP 10.0.0.101, ETH2=LAN IP 10.0.0.102, GW=10.0.0.100, DNS=8.8.8.8
PC1: pevná IP 10.0.0.99, GW=10.0.0.102, DNS=10.0.0.102

Do DMZ v modemu se nastavuje WAN nebo LAN port Mikrotiku?

[sub_zero]

Jak můžeš mít na dvou stejných iface stejné rozsahy IP adres??? Na co tam ten "router" teda máš?
Buď to hoď do bridge a na bridgi dělej co potřebuješ (fw, shapping.....) nebo změn na LAN portu IP rozsah na něco jiného a potom čistě routuj nebo NATuj.
Mimo jiné máš špatně i to DMZ na tum Huawei. Jako IP adresu DMZ musíš mít nastavenou jako IP adresu toho Mikrotiku na WAN, tzn. to 101ku.

[MartinArnold]

Potřebuji zajistit kompletní přístup a správu z venku k asi tuctu zařízení v lokální síti, tedy předně potřebuji NAT. V modemu nastavení NATu sice je, ale nefunguje. Nevím proč, nastavení NATu je jednoduché, to už jsem dělal mnohokrát v různých „domácích“ routerech a modemech a vždy to šlo, ale tady v tom modemu mi fakt nefunguje. Jelikož tu mám volného jednoho Mikrotika RB2011, tak jsem si řekl, že ho zkusím použít. S jeho nastavením ale moc zkušeností nemám. V modemu volba pro Bridge mode není, je tam jen DMZ.

DMZ na modemu opravím. S těmi rozsahy to nechápu, osvětlíš mi to prosím?

[Majklik]

A jak se chceš k tomu připojovat? Pokud vím, tak O2 nenabízí pro LTE službu veřejná/statická IP adresa, takže jsi schován za CGN u operátora a nejde se normálně spojit z Internetu na ten modem přímo, takže ti přesměrovávání portů v modemu nebude fungovat.

[sub_zero]

A pokud by se Ti to podařilo, dej ten Huawei modem do bridge a vytacej PPP primo z toho Mikrotiku. Tak dostanes tu "verejnou" IP primo na ten MIkrotik a tam si budes delat NATy.
A nejcistsi varianta by byla ten USB modem pripojit primo do nejakyho modelu Mikrotiku, ktery podporuje USB.

S rozsahy je to jednoduchy. Nemuzes mit dve stejny site na dvou interfejsech (pokud to nemas v bridge). Tzn, ze nas WAN Mikrotiku nechas tu, co tam mas a LAN preadresujes jinam.

[Majklik]

Huawei B593 není USB dongle, je to normální router s 4x LAN, jen jako WAN stranu má integrován 4G/3G modul. A bridge režim asi opravdu nepodporuje.
Takže pokud se tam chci spojovat do LAN strany, tak ten RB za tím, na něm pustit VPN klienta, co se spojí přes 4G někam, kde mám server a pak skrz ten tunel už pohoda a klídek...

[sub_zero]

Huawei B593 není USB dongle, je to normální router s 4x LAN, jen jako WAN stranu má integrován 4G/3G modul. A bridge režim asi opravdu nepodporuje.
Takže pokud se tam chci spojovat do LAN strany, tak ten RB za tím, na něm pustit VPN klienta, co se spojí přes 4G někam, kde mám server a pak skrz ten tunel už pohoda a klídek...

Aha, nekoukal jsem se na ten typ. Pak to vše vysvětluje. Nicméně.. nejsem si jistej tím tunelem, když tazatel má zmatek v tak základní věci jako je adresace

[MartinArnold]

Díky všem za příspěvky a omlouvám se, že mi chybí základní znalosti. Jsem jen obyčejný uživatel, který se snaží udělat si co nejvíce sám, většinou metodou pokus-omyl. Nemám možnost se u někoho přiučit.

Potřebuji ponechat lokální subnet v rozsahu 10.0.0.0/24. Nastavil jsem vše podle sebe jak si myslím že by to mělo být v pořádku, ale stejně připojení k Internetu nefunguje.

Byl by tu někdo ochotný kouknout na konfigurační script z RB a říct mi co je špatně a jak to má být správně?

[sub_zero]

Díky všem za příspěvky a omlouvám se, že mi chybí základní znalosti. Jsem jen obyčejný uživatel, který se snaží udělat si co nejvíce sám, většinou metodou pokus-omyl. Nemám možnost se u někoho přiučit.

Potřebuji ponechat lokální subnet v rozsahu 10.0.0.0/24. Nastavil jsem vše podle sebe jak si myslím že by to mělo být v pořádku, ale stejně připojení k Internetu nefunguje.

Byl by tu někdo ochotný kouknout na konfigurační script z RB a říct mi co je špatně a jak to má být správně?

Co je myšleno tím lokálním subnetem? Potřebuješ ho nechat na serverech? Pokud ano, změn jen subnet mezi Huaweiem a Mikrotikem (např. 10.1.0.0/24). V Huawei nastav DMZ na IP adresu toho Mikrotiku.
V Mikrotiku udělej v NATu překlady kam potřebuješ. Script sem klidně pošli, ale bez toho readresování to jednoduše nevyřešíš.

[MartinArnold]

Díky za ochotu. Lokálním subnetem myslím skupinu počítačů a různých zařízení s adresami 10.0.0.1-254.

Pevná IP adresa modemu je 10.0.1.1 a DMZ 10.0.1.254.
Testovací notebook má pevnou IP 10.0.0.99, GW: 10.0.1.1 a DNS: 8.8.8.8

[MartinArnold]

Výše řešený problém jsem nakonec zdárně vyřešil, tedy, až na jednu věc.

Modelová situace. Jedna lokální síť s několika zařízeními a dvěma připojeními k Internetu řešenými dvěma různými ISP. Jedna část zařízení využívá připojení prvního ISP řešené prostřednictvím ADSL modemu/routeru, který zajišťuje i NAT pro vzdálený přístup k zařízením na něj směrovaným. Druhá část zařízení je připojena k Internetu druhým ISP pomocí 3G modemu a Mikrotiku jako routeru (na který tento 3G modem směruje všechen provoz) a který se stará o FW a NAT pro přístup z internetu k této druhé části zařízení na tento MK směrovaným.

Já bych potřeboval přistupovat přes druhé připojení (3G modem a MK) i k těm zařízením, která mají jinou GW a jsou tedy směrována na modem prvního ISP. Lze toto nějak v MK udělat?

Jednotlivá zařízení jsou většinou Webové servery.

[Majklik]

Nejjednodušší je, že jdyž v tom MK provedeš DNAT z veřejku na interní IP serveru, který má jako gatewaz to ADSL, tak zároveň uděláš i SRCNAT na interní IP toho MK a bude ti to fungovat. Nevýhodou je, že takto všechny přístupy z Internetu přes mobilní připojneí uvidíš pod IP MKčka a ne skutečnou veřejkou, takže záleží, zda to ne/vadí. Pokud by vadilo a ty servery byly náhodou linux, tak se dá pomocí "ip rule" a "ip route" dosáhnout, aby se to poslalo správným směrme i bez toho srcnat v MKčku.

Aporpo, kterého operátora jsi ukecal na veřejnou pevnou IP na LTE, Vodafona?

[zajdee]

T-Mobile umi verejnou IP na LTE. Vodafone by to snad mel umet taky, ale v ceniku to chybi...

[MartinArnold]

Nejjednodušší je, že jdyž v tom MK provedeš DNAT z veřejku na interní IP serveru, který má jako gatewaz to ADSL, tak zároveň uděláš i SRCNAT na interní IP toho MK a bude ti to fungovat. Nevýhodou je, že takto všechny přístupy z Internetu přes mobilní připojneí uvidíš pod IP MKčka a ne skutečnou veřejkou, takže záleží, zda to ne/vadí. Pokud by vadilo a ty servery byly náhodou linux, tak se dá pomocí "ip rule" a "ip route" dosáhnout, aby se to poslalo správným směrme i bez toho srcnat v MKčku.

Aporpo, kterého operátora jsi ukecal na veřejnou pevnou IP na LTE, Vodafona?

Nedaří se mi to. Můžeš prosím uvést příklad pravidla?

Používám sice LTE modem, ale jedu jen na 3G. Nejsem v dosahu LTE signálu nebo je přiliš slabý.